Fehéroroszorság, avagy a Belarusz Köztársaság lakói minden bizonnyal szeretik a hollywoodi sorozatokat, olyannyira, hogy képesek lemásolni és sajátjuként leforgatni őket. Történt ez például a The Big Bang Theory kockasorozattal is, amely valentin napi részét Chuck Lorre, a sorozat egyik megalkotója egy Fehéroroszágnak szóló üzenettel zárja. Ebből kiderül, hogy angolul The Theorists, kb. Teoristák, elméleti tudósok néven az állami TV adó forgat egy sorozatot, ami hajszálra megegyezik az eredetivel, persze mindez a jogtulajdonos Warner Bros. engedélye nélkül történik. Mivel a fehérorosz kormány által finanszírozott adót gyakorlatilag lehetetlen a jogsértésért beperelni, ezért Chuck tehetetlenségében legalább megemlékezett az esetről.

Aki kiváncsi, sokszor pórul jár, ezért rögtön rákerestem a “The Theorists Belarus” szavakra, hátha valahol sikerül megpillanatani a fehérorosz másolat pár képkockáját.

Meglepetésemre az első két találat teljesen új kártevőkhöz vezetett, ráadásul nem is akármilyenhez. A téma a szokásos hamis biztonsági szoftverrel történő átverés, de ezúttal a hamis vírusirtót még csak fel se kell telepíteni: rögtön elindul (egy animáció) és elvégzi a keresést a böngészőablakban!

Először egy Windows Intézőhöz hasonló oldal jelenik meg, amin rögtön elindul a víruskeresés:

Majd egy Windows Biztonsági Központra hasonlító figyelmeztetés összegzi a “találatokat”:

A megoldás persze már egyértelmű, a folytatáshoz ugyanis le kell futtatni egy immár igazi károkozót, de ezt senkinek sem javasolnám.

Az igényes kivitelezéssel készült átverés 3-4 féle kinézetben is elérhető, van XP-s és Windows Vista/7-re emlékeztető skin is. Sőt, még egy hamis UAC ablak is megjelenik, ami elsötétíti a korábban automatikusan teljes képernyőre kirakott böngészőablakot:

Meglepő, de az egész átverés teljes mértékben nélkülözi az animációkhoz és videókhoz használt Flasht, minden profi DHTML és CSS alapon működik.

Az egész átverés rendkívül igényesen néz ki és nagyon jól szemlélteti, hogy nincs lehetetlen dolog, ha új számítógépek megfertőzéséről és a felhasználók újabb átveréséről van szó. A profizmus is kézzel fogható: tökéletesen lemásolt Windows ablakok, látványos, esztétikus animációk, tökéletes illúzió.

Az átverések videón:

• Vista-szerű megjelenés UAC ablakkal
• Másik Vista-szerű kinézet
• XP-s kinézet
• Másik XP-s skin

Január során közel 200, a földrengés sújtotta ország nevével visszaélő csalást lepleztek le.

Az amerikai Sunbelt Software kutatócsoportja, a SunbeltLabs 2010 februárjában is megjelentette toplistáját a 2010 januárja során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Trójai uralom

A legtöbb fertőzést okozó elektronikus kártevők toplistája 2010 első hónapjában a decemberi sorrendhez hasonlóan alakult. A tízből hét kártevő némileg más sorrendben már az előző havi listán is szerepelt, januárban pedig a top tízből hat volt trójai program.

A listát továbbra is a Trojan.Win32.Generic!BT vezeti, immár a fertőzések 23,15%-a köthető hozzá.  Az ide tartozó kártevők jellemzően hamis riasztásokat okoznak a számítógépen és haszontalan IT-biztonsági szoftverek letöltésére és megvásárlására buzdítják a megijesztett felhasználót. A tavalyi évben sokáig listavezető, jelszófigyelő károkozó, a Trojan-Spy.Win32.Zbot.gen a második helyen található, az általa okozott fertőzések aránya lényegesen elmarad az éllovastól és csökkenőben is van, az előző havi 6,23%-a helyett immár a fertőzések “mindössze” 4,91%-áért okolható.
“A következő hónapok során is várhatóan a trójai programok okozzák majd a legtöbb fertőzést.” – mondta Michael St. Neitzel, a Sunbelt Software kutatásért felelős alelnöke. “A bűnözők a hamis biztonsági riasztásokat adó alkalmazásokkal tudják rávenni a felhasználókat a kamu vírusirtók megvásárlására, márpedig továbbra is ez a legkönnyebb internetes pénzszerzési mód.” – tette hozzá.

A toplistán három új jövevény szerepel, jóllehet a nyolcadik helyen álló, pop-up hirdetéseket megjelenítő Virtumonde reklámprogram már régi ismerős, 2008 év végén több hónapon  keresztül is állt a lista élén. A kilencedik helyen álló Packed.Win32.TDSS.aa.3 (v) egy trükkös rootkit és trójai, amely az internetes keresések eredményeit is képes megváltoztatni. A toplista utolsó helyére a Trojan.HTML.FakeAlert.a (v) kapaszkodott fel: az Asztal hátterét lecserélő, több trójai által is használt HTML fájl csupán a fertőzések 0,98%-áért felelős.

További visszaélések a haiti áldozatok nevében

Az FBI szerint tovább növekszik a haiti károsultak nevében indított elektronikus és egyéb adománygyűjtés, jóllehet a befolyt pénz sajnos nem a földrengés sújtotta ország lakóihoz érkezik. A szövetségi nyomozóirodához immár közel 200 bejelentés érkezett visszaélésekről. Január 22-én például Michiganben letartóztattak egy férfit, aki FBI-ügynöknek adta ki magát és a haiti árvák számára gyűjtött adományokat. Az adománygyűjtő levelekben általában vagy túlélőnek, vagy haiti kormánytisztviselőnek adják ki magukat a csalók, akik sokszor adnak meg telefonszámot is, majd arra is ügyelnek, hogy ál-tisztviselők vegyék fel a kagylót. A visszaéléseket elkövetők még sok ismerőssel rendelkező Facebook accountokat is feltörnek, így a feltört account tulajdonosának valamennyi ismerőse kapott egy adakozásra felkérő üzenetet, amit nehéz megkülönböztetni a valódi adománygyűjtéstől. A visszaélések klasszikus formáit is bevetették a bűnözők: nem létező alapítványok nevében is gyűjtenek pénzt, illetve nemzetközi szervezetek – mint például a Vöröskereszt – helyi irodáinak adják ki magukat. Az ál-antivírusok fejlesztői is kihasználták a kínálkozó lehetőségeket, mivel számtalan olyan fertőzött oldalt hoztak létre, amelyek az adományozás lehetőségeiről ígértek tájékoztatást, ám az oldalakat felkeresők hamis biztonsági riasztásokat kaptak és azonnali megoldásként ál-vírusirtókat is letölthettek.

A 2010 januárja során legtöbb fertőzést okozó kártevők:

1. Trojan.Win32.Generic!BT (23,15%)

2. Trojan-Spy.Win32.Zbot.gen (4,91%)

3. Exploit.PDF-JS.Gen (v) (4,55%)

4. Trojan.Win32.Generic!SB.0 (2,40%)

5. Trojan.Win32.Malware (1,93%)

6. Trojan.ASF.Wimad (v) (1,92%)

7. INF.Autorun (v) (1,46%)

8. Virtumonde (1,23%)

9. Packed.Win32.TDSS.aa.3 (v) (1,21%)

10.Trojan.HTML.FakeAlert.a (v) (0,98%)

Az MPP új telepítőcsomagjai már elérhetők a Debian és Ubuntu alatt is használt APT csomagkezelővel, ami így egyetlen parancsra egyszerűsíti az MPP Core szűrőrendszer és az MPP Manager webes kezelőfelület telepítését.

MPP: telepítés APT segítségével